c
sergevp
Нет, наоборот, я пытаюсь понять именно идеальный вариант
Нет, наоборот, я пытаюсь понять именно идеальный вариант
sergevp
Тот, к которому все должны стремиться, на твой взгляд.
Size: a a a
2021 March 04
O
нет, ты меня дрочишь
c
sergevp
@power_mew, Я не спорю, что с secureboot-ом можно жить. Я просто пытаюсь понять, ради чего этот мазохизм. Пока что для любой конкретной угрозы, о которой я могу подумать, либо secureboot от неё не защищает. Либо защищает, но цена такой защиты выше, чем выгода от неё.
@power_mew, Я не спорю, что с secureboot-ом можно жить. Я просто пытаюсь понять, ради чего этот мазохизм. Пока что для любой конкретной угрозы, о которой я могу подумать, либо secureboot от неё не защищает. Либо защищает, но цена такой защиты выше, чем выгода от неё.
c
sergevp
Потому и пытаюсь понять хоть один конкретный пример.
Потому и пытаюсь понять хоть один конкретный пример.
O
у меня нет проблем с секуребутом
c
sergevp
Так вот.
Так вот.
O
проблемы появляются у тех, кто занимается эксперементами с загрузчиком
O
моя выгода от его наличия выше, чем от отсутствия
c
sergevp
Наш загрузчик подписан весь (вместе с конфигом), а неподписанное он достаёт только с зашифрованного раздела.
Наш загрузчик подписан весь (вместе с конфигом), а неподписанное он достаёт только с зашифрованного раздела.
c
sergevp
Вопрос: как такой загрузчик вместе с его параметрами устанавливается (ну и как обновляется, но сначала — как он устанавливается)?
Вопрос: как такой загрузчик вместе с его параметрами устанавливается (ну и как обновляется, но сначала — как он устанавливается)?
c
sergevp
Ведь каждая система может иметь различные параметры шифрования (которые записаны в конфиге, и подписаны).
Ведь каждая система может иметь различные параметры шифрования (которые записаны в конфиге, и подписаны).
O
это не относится к теме
c
sergevp
Относится. Потому что такой загрузчик должен быть подписан не его автором когда-то в прошлом, а именно при установке. И где-то у пользователя при установке должен лежать его ключ. Вопрос — где он лежит?
Относится. Потому что такой загрузчик должен быть подписан не его автором когда-то в прошлом, а именно при установке. И где-то у пользователя при установке должен лежать его ключ. Вопрос — где он лежит?
c
sergevp
приватный ключ, которым его подписывают
приватный ключ, которым его подписывают
O
он лежит не у потенциальных злоумышленников.
O
может лежать у меня в сейфе
c
sergevp
Ага, то есть этот ключ сгенерировал ты.
Ага, то есть этот ключ сгенерировал ты.
c
sergevp
(ну и ты каждый раз достаёшь его из сейфа, когда надо обновить загрузчик, но это мелкие неудобства, сейчас они не так важны)
(ну и ты каждый раз достаёшь его из сейфа, когда надо обновить загрузчик, но это мелкие неудобства, сейчас они не так важны)
c
sergevp
И ты его не только сгенерировал, но ещё и прописал в UEFI. Верно?
И ты его не только сгенерировал, но ещё и прописал в UEFI. Верно?